Certyfikat klucza publicznego –  poświadczony dokument, który wiąże klucz publiczny z danymi jego właściciela. 

Załóżmy, że osoba X chciałaby wysłać zaszyfrowaną wiadomość do osoby Y lub że osoba Y wysłała do X podpisaną elektronicznie wiadomość i osoba X chciałaby się upewnić, że wiadomość ta rzeczywiście pochodzi od Y. W obu przypadkach osoba X potrzebuje klucza publicznego osoby Y. Atakujący mógłby jednak podać się za Y i wysłać do osoby X klucz publiczny, który sam stworzył. Wtedy X będzie otrzymywać dokumenty podpisane kluczem atakującego a nie osoby Y, a co więcej, wiadomości, które osoba X wysłała do Y, będą mogły zostać rozszyfrowane. Dlatego osoba X musi mieć pewność, że klucz publiczny, który otrzymała, rzeczywiście należy do Y. Żeby to zrobić, X może spotkać się z Y, jednak takie spotkanie nie zawsze jest możliwe. Wówczas osoba X może skorzystać z certyfikatu klucza publicznego, który jest poświadczony przez podmiot zaufany dla X. Takim podmiotem może być osoba, której X ufa albo urząd certyfikacji. Urząd certyfikacji sprawdza przynależność klucza do Y oraz dane osoby Y i wpisuje je do certyfikatu, który poświadcza swoim podpisem elektronicznym. Proces ten nazywany jest wystawieniem certyfikatu.

W zależności od technologii do których są używanie, wyróżniamy głównie:

Certyfikaty TLS serwera, które są wykorzystywane przez serwery używające protokołów z szyfrowaniem TLS takich jak HTTPS. Certyfikaty te zawierają jedną lub kilka domen internetowych w polu podmiotu certyfikatu. Aby certyfikat został przyjęty przez przeglądarkę internetową klienta, musi on być wydany przez urząd certyfikacji akceptowany przez tę przeglądarkę. Istnieją 3 rodzaje certyfikatów wydawanych przez CA:

  • Certyfikaty DV - zawierają wyłącznie nazwę domeny w polu podmiotu certyfikatu.
  • Certyfikaty OV - poza nazwą domeny, zawierają też dane firmy lub organizacji.
  • Certyfikaty EV - zawierają podobny zestaw danych co certyfikaty OV, z tym że poprawność danych w certyfikatach EV jest dokładniej sprawdzana.

Certyfikaty osobiste lub firmowe X.509 - zawierają one dane osobowe lub dane firmy/organizacji. Wykorzystywane są najczęściej do podpisywania i szyfrowania maili wg. standardu S/MIME.

Certyfikaty PGP - wykorzystywane do szyfrowania i podpisu z technologią PGP. Zamiast CA wykorzystywany jest model Web Of Trust. W polu podmiotu zawierają dane osobowe lub dane firmy.